Acerca dos conteúdos de segurança do iOS 9.3.2
Este documento descreve os conteúdos de segurança do iOS 9.3.2.
Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação completa e não estiverem disponíveis as correções ou versões necessárias. Para obter mais informações acerca da Segurança dos produtos Apple, consulte o site Segurança dos produtos Apple.
Para obter informações sobre a chave PGP de segurança dos produtos Apple, consulte o artigo Como utilizar a chave PGP de segurança dos produtos Apple.
Sempre que possível, são utilizados ID CVE para designar as vulnerabilidades e disponibilizar mais informações.
Para obter mais informações sobre outras atualizações de segurança, consulte o artigo Atualizações de segurança da Apple.
iOS 9.3.2
Acessibilidade
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: uma aplicação maliciosa poderá conseguir divulgar informações confidenciais do utilizador
Descrição: foi resolvido um problema de leitura fora dos limites através da validação melhorada da entrada.
ID CVE
CVE-2016-1790: Rapelly Akhil
CFNetwork Proxies
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: um atacante com uma posição privilegiada na rede poderá conseguir divulgar informações confidenciais do utilizador
Descrição: existia uma fuga de informação no processamento de pedidos HTTP e HTTPS. Este problema foi resolvido através do processamento melhorado dos URL.
ID CVE
CVE-2016-1801: Alex Chapman e Paul Stone da Context Information Security
CommonCrypto
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: uma aplicação maliciosa poderá conseguir divulgar informações confidenciais do utilizador
Descrição: existia um problema no processamento de valores de retorno no CCCrypt. Este problema foi resolvido através da gestão melhorada do comprimento da chave.
ID CVE
CVE-2016-1802: Klaus Rodewig
CoreCapture
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: uma aplicação poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: foi resolvido um problema de desreferenciação do indicador nulo através da validação melhorada.
ID CVE
CVE-2016-1803: Ian Beer do Google Project Zero, daybreaker em colaboração com o programa Zero Day Initiative da Trend Micro
Imagens de disco
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: um atacante local poderá conseguir ler a memória do kernel
Descrição: foi resolvida uma condição de disputa através do bloqueio melhorado.
ID CVE
CVE-2016-1807: Ian Beer do Google Project Zero
Imagens de disco
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: uma aplicação poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: existia um problema de corrupção de memória na análise de imagens de disco. Este problema foi resolvido através do processamento melhorado da memória.
ID CVE
CVE-2016-1808: Moony Li (@Flyic) e Jack Tang (@jacktang310) da Trend Micro
ImageIO
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: o processamento de uma imagem criada com intuito malicioso poderá provocar uma recusa de serviço
Descrição: foi resolvido um problema de desreferenciação do indicador nulo através da validação melhorada.
ID CVE
CVE-2016-1811: Lander Brandt (@landaire)
IOAcceleratorFamily
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: uma aplicação poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: foram resolvidos vários problemas de corrupção de memória através do processamento melhorado da memória.
ID CVE
CVE-2016-1817: Moony Li (@Flyic) e Jack Tang (@jacktang310) da Trend Micro em colaboração com o programa Zero Day Initiative da Trend Micro
CVE-2016-1818: Juwei Lin da Trend Micro, sweetchip@GRAYHASH em colaboração com o programa Zero Day Initiative da Trend Micro
CVE-2016-1819: Ian Beer do Google Project Zero
Entrada atualizada a 13 de dezembro de 2016
IOAcceleratorFamily
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: uma aplicação poderá conseguir provocar uma recusa de serviço
Descrição: foi resolvido um problema de desreferenciação do indicador nulo através do bloqueio melhorado.
ID CVE
CVE-2016-1814: Juwei Lin da Trend Micro
IOAcceleratorFamily
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: uma aplicação poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: foi resolvido um problema de desreferenciação do indicador nulo através da validação melhorada.
ID CVE
CVE-2016-1813: Ian Beer do Google Project Zero
IOHIDFamily
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: uma aplicação poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: foi resolvido um problema de corrupção de memória através do processamento melhorado da memória.
ID CVE
CVE-2016-1823: Ian Beer do Google Project Zero
CVE-2016-1824: Marco Grassi (@marcograss) da KeenLab (@keen_lab), Tencent
CVE-2016-4650: Peter Pi da Trend Micro em colaboração com o programa Zero Day Initiative da HP
Kernel
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: uma aplicação poderá conseguir executar um código arbitrário com privilégios do kernel
Descrição: foram resolvidos vários problemas de corrupção de memória através do processamento melhorado da memória.
ID CVE
CVE-2016-1827: Brandon Azad
CVE-2016-1828: Brandon Azad
CVE-2016-1829: CESG
CVE-2016-1830: Brandon Azad
CVE-2016-1831: Brandon Azad
libc
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: um atacante local poderá conseguir provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: foi resolvido um problema de corrupção de memória através da validação melhorada da entrada.
ID CVE
CVE-2016-1832: Karl Williamson
libxml2
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: o processamento de um ficheiro XML criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário
Descrição: foram resolvidos vários problemas de corrupção de memória através do processamento melhorado da memória.
ID CVE
CVE-2016-1833: Mateusz Jurczyk
CVE-2016-1834: Apple
CVE-2016-1835: Wei Lei e Liu Yang da Nanyang Technological University
CVE-2016-1836: Wei Lei e Liu Yang da Nanyang Technological University
CVE-2016-1837: Wei Lei e Liu Yang da Nanyang Technological University
CVE-2016-1838: Mateusz Jurczyk
CVE-2016-1839: Mateusz Jurczyk
CVE-2016-1840: Kostya Serebryany
libxslt
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: visitar um site criado com intuito malicioso poderá provocar a execução de um código arbitrário
Descrição: foi resolvido um problema de corrupção de memória através do processamento melhorado da memória.
ID CVE
CVE-2016-1841: Sebastian Apelt
MapKit
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: um atacante com uma posição privilegiada na rede poderá conseguir divulgar informações confidenciais do utilizador
Descrição: foram enviadas ligações partilhadas através de HTTP em vez de HTTPS. Este problema foi resolvido através da ativação de HTTPS para ligações partilhadas.
ID CVE
CVE-2016-1842: Richard Shupak (https://www.linkedin.com/in/rshupak)
OpenGL
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar a execução de um código arbitrário
Descrição: foram resolvidos vários problemas de corrupção de memória através do processamento melhorado da memória.
ID CVE
CVE-2016-1847: Tongbo Luo e Bo Qu da Palo Alto Networks
Safari
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: um utilizador poderá não conseguir apagar completamente o histórico de navegação
Descrição: a opção "Limpar histórico e dados dos sites" não limpava o histórico. O problema foi resolvido através da eliminação melhorada de dados.
ID CVE
CVE-2016-1849: um investigador anónimo
Siri
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: uma pessoa com acesso físico a um dispositivo iOS poderá conseguir utilizar o Siri para aceder a fotografias e contactos a partir do ecrã bloqueado
Descrição: existia um problema de gestão do estado ao aceder aos resultados do Siri no ecrã bloqueado. Este problema foi resolvido através da desativação de detetores de dados nos resultados do Twitter enquanto o dispositivo estiver bloqueado.
ID CVE
CVE-2016-1852: videosdebarraquito
WebKit
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: visitar um site malicioso poderá divulgar dados de outro site
Descrição: foi resolvido um problema de "taint tracking" insuficiente na análise de imagens svg através do "taint tracking" melhorado.
ID CVE
CVE-2016-1858: um investigador anónimo
WebKit
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: visitar um site criado com intuito malicioso poderá provocar a execução de um código arbitrário
Descrição: foram resolvidos vários problemas de corrupção de memória através do processamento melhorado da memória.
ID CVE
CVE-2016-1854: um investigador anónimo em colaboração com o programa Zero Day Initiative da Trend Micro
CVE-2016-1855: Tongbo Luo e Bo Qu da Palo Alto Networks
CVE-2016-1856: lokihardt em colaboração com o programa Zero Day Initiative da Trend Micro
CVE-2016-1857: Jeonghoon Shin@A.D.D e Liang Chen, Zhen Feng, wushi da KeenLab, Tencent em colaboração com o programa Zero Day Initiative da Trend Micro
Tela do WebKit
Disponível para: iPhone 4s e posterior, iPod touch (5.ª geração) e posterior, iPad 2 e posterior
Impacto: visitar um site criado com intuito malicioso poderá provocar a execução de um código arbitrário
Descrição: foram resolvidos vários problemas de corrupção de memória através do processamento melhorado da memória.
ID CVE
CVE-2016-1859: Liang Chen, wushi da KeenLab, Tencent em colaboração com o programa Zero Day Initiative da Trend Micro
As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Contacte o fornecedor para obter mais informações.